13718224560
行业新闻
首页 > 行业新闻 » 第一张认可证书故事:筑牢信息安全防线——我国第一张信息安全管理体系认证机构认可证书背后的故事

第一张认可证书故事:筑牢信息安全防线——我国第一张信息安全管理体系认证机构认可证书背后的故事

作者:中国合格评定国家认可委员会      来源:      时间:2020-08-06 10:03:12      点击:2700 次

   改革开放40多年来,我国在经济、科技、文化、外交等方面发生了巨大变化,人民物质文化生活水平显著提高,上世纪改革开放成果给百姓带来巨大红利。小时候追求的“电灯、电话、楼上、楼下”早已实现,电器设备一代代更新,计算机、互联网、智能手机等信息化设备迅猛发展,老百姓的工作和生活越来越与信息化融为一体,日常生活充满了各种便利和快捷。

但随之而来的信息安全问题也日益凸显。计算机病毒、互联网诈骗、信息系统漏洞、网络窃密、网络攻击、垃圾电子邮件、虚假有害信息内容和网络违法犯罪等问题日趋突出。信息安全已经成为国家安全、经济安全和社会稳定的重要组成部分。

借鉴国际专业标准,建立信息安全管理体系和信息技术服务管理体系,对于保障信息系统与业务安全和企业健康发展成为必要。为此,各国普遍采用认证机制作为保障信息系统安全的重要手段之一。

   在党中央、国务院对信息安全工作的高度重视下,2006年11月17日,中国信息安全认证中心(现名为中国网络安全审查技术与认证中心,简称网安中心)在京成立。

2000年,国际标准化组织(ISO)正式发布了有关信息安全的标准。2005年,国际组织推出了ISO/ IEC 27001:2005《信息安全管理体系要求》标准。此标准一经推出,国外相关认证机构就开始着手建立和实施信息安全管理体系的相关认证规则,并在全球开展信息安全管理体系认证。国内企业为了增强全球市场竞争力,顺利走出国门,只好向国外认证机构申请信息安全管理体系认证并提供认证相关资料等信息,这就可能涉及到敏感信息。

   那时,网安中心刚成立不久,对国内信息安全管理体系认证的现状看在眼里,急在心头。网安中心全体干部职工暗下决心,立志早日开展国内信息安全认证工作。为搭建认证证书与国际接轨的质量基础设施平台,更好地助力我国企业走进国际市场,同一时间,中国合格评定国家认可委员会(CNAS)开始着手建立信息安全管理体系认证机构认可制度。

CNAS从标准入手,查原文、读原著,理解标准要求,依据标准制定包括认可规则、认可准则、认可指南和认可方案等在内的系列认可规范文件。同时,着手建立完善信息安全认证机构认可内部程序,备齐各类指导文件。

   信息安全管理体系认证机构认可属国内首创,世界范围内也缺乏一套完善的认可制度供借鉴。CNAS在时间紧、任务重的情况下,没有放松、没有畏惧,攻关克难,在对企业大量调研的基础上,开设了信息安全认证机构认可试点;聘请国内信息安全权威专家对信息安全认证机构认可体系进行评议,进一步保证信息安全认证机构认可体系的科学性和公正性。想认证机构和企业之所想、急认证机构和企业之所急,经过无数次加班加点,2009年初,CNAS正式建立起信息安全管理体系认证机构认可制度,并开始受理认可申请。

   网安中心第一时间向CNAS申请认可业务,并广泛告知企业。企业普遍表示,通过认可后可以解决企业认证在国际通行的大问题,可以快速提升企业的国际地位。CNAS很快受理了网安中心的申请,并派出经验丰富、技术精湛的评审员对网安中心的公正性、能力、责任、公开性、保密性等系列文件进行认真细致的评审,还调阅了多家企业的信息安全管理体系认证资料进行核查评审,并派评审员到企业现场考评网安中心审核员的能力。功夫不负有心人,经过一个星期认真负责、耐心细致的评审,2009年5月22日,网安中心终于获得了首张信息安全管理体系认证机构认可证书。

   首张信息安全管理体系认证机构认可证书,不仅是值得网安中心自豪的证书,还是认可中心走入世界同行的证书,更重要的是填补了我国信息安全管理体系认可的空白,解决了企业信息安全管理体系国际通行的问题,使获证组织的顾客、社会、市场对认证所涉及的信息安全管理行为充满信心。信达、东方、华融、长城等四大国有资产管理公司,中国农业银行数据中心,中信银行信用卡中心,辽宁电力纷纷选择了网安中心提供的信息安全管理体系认证服务。

获得信息安全管理体系认证机构认可证书后,网安中心并没有停下申请认可的脚步,不仅接连在金融、电子商务、通信领域、电力行业实现信息安全管理体系认可扩项,还获得了CNAS颁发的信息技术服务管理体系、信息安全服务资质、信息安全产品等认可证书,连续十多年通过CNAS复评。

   如今,越来越多的行业、部门对认证认可在推动信息安全管理体系建设,提高保障能力,增强客户信心等方面的作用予以广泛认同,信息安全管理体系认证认可越来越成为企业信息安全水平、IT服务质量和管理效率的重要标志。截至2018年年底,全球已颁发ISO27001认证证书3万多张。在信息安全领域,CNAS已经认可了25家认证机构,这些机构累计颁发了8000余张获认可的信息安全管理认证证书。